- Die Zscaler Experience
Ihre Welt, sicher
Erleben Sie, wie Zero Trust Ihre Organisation transformieren kann.
Zscaler: Ein Leader im Gartner® Magic Quadrant™ 2023 für Security Service Edge (SSE)
Zum Report
![Zscaler erneut ein Leader]( "Zscaler erneut ein Leader")
Grundlagen von Zero Trust
-
Was ist Zero Trust?
-
Was ist Security Service Edge (SSE)?
-
Was versteht man unter Secure Access Service Edge (SASE)?
-
Was ist Zero Trust Network Access (ZTNA)?
-
Was versteht man unter Secure Web Gateways (SWG)?
-
Was ist ein Cloud Access Security Broker (CASB)?
-
Was ist eine Cloud Native App Protection Platform (CNAPP)?
-
Ressourcen zu Zero Trust
-
- Produkte & Lösungen
![Test]( "Test")
Zuverlässiger Schutz für User
Ihre User erhalten nahtlosen, sicheren und zuverlässigen Zugriff auf Anwendungen und Daten.
![Test]( "Test")
Schutz von Workloads
Zscaler unterstützt die Entwicklung und Ausführung sicherer Cloud-Anwendungen, gewährleistet Cloud-Konnektivität nach dem Zero-Trust-Prinzip und schützt Ihre Workloads im Rechenzentrum genauso zuverlässig wie in der Cloud.
![Test]( "Test")
Sicherheit für IoT- und OT-Geräte
Zscaler bietet Zero-Trust-Konnektivität für IoT- und OT-Geräte sowie sicheren Remotezugriff auf OT-Systeme.
Produkte
Komplett Cloud-native Services gewährleisten den Erfolg Ihrer digitalen Transformation
Lösungsbereiche
Zero-Trust-Lösungen schützen und vernetzen Ihre Ressourcen – für ein ungehindertes Wachstum Ihres Unternehmen
-
Schutz vor Cyberbedrohungen
-
Datenschutz
-
Zero Trust Networking
-
Geschäftsanalysen
-
Alternative zu VPN
-
Zero Trust SASE
-
Schnellere Integration bei Fusionen und Übernahmen
-
Hervorragende digitale Anwendererfahrungen
-
Zero Trust SD-WAN
-
Cloud-Konnektivität mit Zero Trust
-
Zero Trust für IoT/OT
-
Produkte und Lösungen finden
-
Produkte und Lösungen finden
-
Partnerintegrationen
Branchen- und marktspezifische Lösungen
-
- Plattform
Zero-Trust-Exchange-Plattform
Erfahren Sie, wie Zscaler mit seiner Cloud-nativen Plattform Zero-Trust-Sicherheit ermöglicht, basierend auf der weltweit größten Security Cloud.
![Test]( "Test")
Transformation dank Zero-Trust-Architektur
Neuer Schub für Ihren Weg zur Transformation
Sicherheit für Ihre Geschäftsziele
Erfolgreiche Geschäfts- und IT-Initiativen
- Ressourcen
Schulung, Austausch und Support.
Lernen Sie die Tools und Ressourcen kennen, die Sie dabei unterstützen, Ihre Transformation zu beschleunigen und Ihr Unternehmen zu schützen
![CXO REvolutionaries]( "CXO REvolutionaries")
Eine Plattform für Wegbereiter von Digitalisierung und Zero Trust
Jetzt besuchen
Ressourcen-Center
Immer die aktuellen Best Practices
Events und Schulungen
Programme, Zertifizierungen und Events
Studien und Services zum Thema Sicherheit
Studien und Erkenntnisse einfach abrufbar
Instrumente
Speziell entwickelte Tools
Community und Support
Austausch und Support
Branchen- und marktspezifische Lösungen
Lösungen für Ihre Branche und Ihr Land
- Unternehmen
Was ist ein Weiterleitungsproxy?
Ein Forward-Proxy ist ein Vermittler, der zwischen einem oder mehreren Benutzergeräten und dem Internet platziert ist. Anstatt Client-Anfragen nur zu validieren und direkt an den Webserver zu senden, wertet er sie zunächst aus, ergreift die erforderlichen Maßnahmen und leitet sie dann für den Client an die Zieladresse weiter. Anschließend prüft er die jeweilige Antwort, ergreift ggf. wiederum Maßnahmen und leitet sie wieder an den ursprünglichen Client zurück.
Wie funktionieren Forward-Proxys?
Ein Forward-Proxy ist weit mehr als ein Datenkontrolleur. Denn als Vermittlungsstelle kann er User vor böswilligen Akteuren schützen und sie daran hindern, absichtlich oder unabsichtlich Daten und Unternehmensressourcen zu gefährden. Der Proxy wird inline geschaltet und befindet sich somit direkt im Datenpfad. So kann das Unternehmen auftretende Sicherheitsrisiken sofort erkennen und entsprechende Richtlinien unmittelbar durchsetzen.
Proxys sind so etwas wie Puffer, die Apps und Daten vor Gefahren schützen − unabhängig davon, ob diese durch Benutzerfehler oder böswillige Datenexfiltration und Malware verursacht werden.
Forward-Proxys und herkömmliche Firewalls
Von Firewalls, die Systeme vor externen Bedrohungen schützen, unterscheiden sich Forward-Proxys in zwei wesentlichen Merkmalen:
- Herkömmliche Firewalls sind relativ durchlässig und leiten den Datenverkehr bereits während der Inhaltsprüfung an den vorgesehenen Empfänger weiter.
- Wird festgestellt, dass der Traffic unsicher ist, gibt die Firewall zwar eine Warnung aus. Doch die wird unter Umständen erst zu spät empfangen. Ein Proxy hingegen leitet den Datenverkehr erst dann weiter, wenn die Inhalte einen Authentifizierungsprozess durchlaufen haben und als sicher eingestuft worden sind.
Übrigens sind cloudbasierte Forward-Proxys auch in der Lage, verschlüsselten Datenverkehr zu überprüfen. Da mittlerweile der Großteil des Datenverkehrs verschlüsselt ist, ist das durchaus relevant. Doch Entschlüsselung, Überprüfung und Neuverschlüsselung sind auch äußerst rechenintensiv. Bei Appliance-basierten Firewalls mit eingebauten Verarbeitungseinschränkungen können hohe Verschlüsselungsvolumina deshalb (im Gegensatz zu Cloud-Firewalls) nicht ohne zusätzliche Latenz verarbeitet werden.
Beim Thema Forward-Proxys geht es immer wieder auch um Cloud Access Security Brokers (CASBs). Das sind Cloud-Sicherheitstools, die zusammen mit Forward Proxys eingesetzt werden können. Dabei leitet ein Software-Agent auf dem Benutzergerät den Datenverkehr an eine Prüfinstanz in der Cloud weiter. Dort werden dann unmittelbar Sicherheitsrichtlinien angewendet, um sichere Verbindungen mit cloudbasierten Ressourcen wie SaaS-Apps und IaaS-Plattformen zu gewährleisten.
Da die Akzeptanz von SaaS-Apps und Telearbeit wächst, eignet sich der cloudbasierte Forward-Proxy-Modus eines CASB (im Gegensatz zu einer lokalen oder virtuellen Firewall oder einer Proxy-Appliance) gut, um verwaltete Geräte zu schützen.
Bei nicht verwalteten, also privaten oder externen Geräten können Forward-Proxys die Sicherheit nicht lückenlos gewährleisten, da die Transaktionen hier von der anfordernden Person und nicht vom Client stammen. Deshalb eignen sich für diesen Fall eher Reverse-Proxys.
Forward-Proxys und Reverse-Proxys
Forward- und Reverse-Proxys werden gerne miteinander verwechselt. Es gibt aber einige grundlegende Unterschiede:
Reverse-Proxys sind dem Web-Server vorgeschaltet und verhindern so, dass Clients direkt mit dem Server kommunizieren können. Forward-Proxys befinden sich dagegen vor den Client-Endgeräten und fangen dort eingehende Anfragen ab. So stellen sie sicher, dass Server nicht direkt mit Clients wie etwa Webbrowsern kommunizieren. Beide Varianten erfüllen eine ähnliche Funktion. Ein wesentlicher Unterschied besteht allerdings darin, dass Forward-Proxys den Traffic in der Regel mithilfe eines Software-Agents weiterleiten, der auf den Endgeräten installiert werden muss. Bei Reverse-Proxys ist das nicht erforderlich.
Ein weiterer wesentlicher Unterschied besteht darin, dass Reverse-Proxys einen Load Balancer enthalten, mit dem sich Client-Anfragen optimieren lassen, die ansonsten einzelne Server überfordern könnten. Das bedeutet hohe Verfügbarkeit, kürzere Ladezeiten und eine Entlastung des Backend-Servers. Dabei kommen zwei Verfahren zur Anwendung:
- Ein Reverse Proxy kann Inhalte von einem Ursprungsserver im temporären Speicher zwischenspeichern und dann an Clients senden, die diese Inhalte anfordern, ohne dass eine weitere Transaktion mit dem Server durchgeführt werden muss (dies wird als Webbeschleunigung bezeichnet). Anhand des DNS lässt sich gewährleisten, dass Anfragen gleichmäßig über mehrere Reverse Proxys geroutet werden.
- Wenn eine große Website oder ein anderer Webdienst mehrere Ursprungsserver verwendet, kann ein Reverse Proxy Anfragen verteilen, um eine gleichmäßige Serverlast zu gewährleisten.
Weiterleitungsproxys als zeitgemäße Alternative zum Perimeterschutz
Das herkömmliche Perimetermodell, auch als „Festung mit Burggraben“ bezeichnet, schützt interne Netzwerke vor schädlichem Datenverkehr aus dem Internet. Da sich mittlerweile aber viele Anwendungen in der Cloud befinden und User oft von außerhalb dieses Perimeters auf private Apps, SaaS und Daten in öffentlichen Clouds zugreifen, ist dieser Ansatz nicht mehr zeitgemäß.
Denn dabei verbinden sich die User über ein virtuelles privates Netzwerk (VPN) – in Zweigstellen auch über eine MPLS-Verbindung – mit dem Rechenzentrum. Dieses sendet den Datenverkehr dann über die Sicherheitsumgebung an die Cloud und wieder zurück. Doch das vergrößert Ihre Angriffsfläche und bedeutet ein erhebliches Risiko. Und auch die User Experience leidet.
Cloud-Anwendungen funktionieren am besten, wenn der Zugriff darauf direkt und auf dem kürzesten Weg erfolgt. Im Rechenzentrum installierte Appliances mit Passthrough-Architekturen sind dafür ungeeignet. Schnelle, direkte und sichere Verbindungen lassen sich nur durch Einsatz eines Weiterleitungsproxys gewährleisten, der die Leistungsfähigkeit und Skalierbarkeit der Cloud voll ausnutzt.
Anwendungsbereiche für Forward-Proxys
Wenn Sie in die Cloud wechseln benötigen Sie eine Sicherheitsstrategie, die auf einer cloudbasierten Proxy-Architektur basiert. Hier finden Sie einige wichtige Anwendungsfälle für Organisationen, die Forward-Proxys (und insbesondere CASB) einführen wollen:
Shadow-IT-Erkennung
Cloud-Umgebungen werden von SaaS-Anwendungen, Usern und Standorten genutzt. Nicht genehmigte Apps (wie Schatten-IT) gibt es in Hülle und Fülle; doch ohne geeignete Lösungen ist es schwierig − wenn nicht gar unmöglich −, den Überblick darüber zu behalten, worauf die User genau zugreifen. Abhilfe schafft hier ein Forward-Proxy an einen CASB, damit der gesamte von zugelassenen Benutzergeräten ausgehende Traffic überprüft wird. So können inoffiziell genutzte Anwendungen identifiziert und der Zugriff darauf – entweder für einzelne User oder ganze User-Gruppen – angemessen geregelt werden.
Datenschutz
SaaS-Anwendungen wurden entwickelt, damit User Dateien gemeinsam nutzen können. Deshalb kann es leicht dazu kommen, dass sie kritische Geschäftsdaten versehentlich an Stellen hochladen, die sie aus Sicht der IT lieber vermeiden sollten. Da cloudbasierte Forward-Proxys inline geschaltet werden, den gesamten Traffic überprüfen und auch die IP-Adressen verbergen können, eignen sie sich besser als andere Schutzmechanismen, um zu verhindern, dass User vertrauliche Daten an riskante Cloud-Adressen hochladen.
Bedrohungsabwehr
SaaS-Apps sind nicht nur ein Einfallstor für die Datenexfiltration, sondern auch für Malware. Die Rapid-Sharing-Funktion kann missbraucht werden, um infizierte Dateien innerhalb des Unternehmens und an andere Organisationen weiterzugeben. Ein Forward-Proxy verhindert, dass infizierte Dateien in die Cloud hochgeladen werden, indem er es Technologien wie Advanced Threat Protection (ATP) und Cloud-Sandbox ermöglicht, Bedrohungen bereits während der Übertragung inline abzufangen.
So finden Sie den passenden Forward-Proxy
In gewisser Hinsicht haben Forward-Proxy-Server einen schlechten Ruf. Denn sie sind bekanntermaßen teuer und kompliziert in Konfiguration und Verwaltung. Sie können die Latenz erhöhen und die User Experience beeinträchtigen. Außerdem können etwaige Ausfallzeiten den Geschäftsbetrieb empfindlich stören. Dabei ist allerdings zu berücksichtigen, dass ihre Bereitstellung bislang immer als physische oder virtuelle Appliances erfolgte.
Forward-Proxys bringen aber auch eine ganze Reihe von Sicherheitsvorteilen, wenn sie in der Cloud bereitgestellt werden – und zwar ohne die Nachteile ihrer Appliance-basierten Gegenstücke. Eine cloudbasierte Proxy-Architektur erspart der Organisation die Kosten für die Anschaffung und Wartung von Appliances und lässt sich je nach Bedarf flexibel skalieren. Diese beispiellose Skalierbarkeit löst auch das bereits erwähnte Kernproblem der rechenintensiven Überprüfung des verschlüsselten Datenverkehrs auf Bedrohungen und Datenlecks.
Ein effektiver Forward-Proxy bietet folgende Vorteile:
- Durchgehender Daten- und Bedrohungsschutz in sämtlichen Cloud-Datenkanälen mit einer klaren Richtlinie.
- Einheitliche Sicherheit als SASE-Komponente, die Anwendungsfälle für CASB, Secure Web Gatewayund ZTNA unterstützt und den Zugriff auf Cloud-Apps und APIs, das Web bzw. interne Ressourcen absichert.
- Ein unkompliziertes IT-Ökosystem mit Single-Pass-Architektur, die auf Appliances verzichtet und erweiterte Funktionen ohne komplexe Konfigurationen wie Proxyverkettung bereitstellt.
Warum Zscaler?
Bei der Auswahl eines geeigneten Forward-Proxys bzw. CASB empfiehlt sich unbedingt ein vertrauenswürdiger Anbieter, der eine praxistaugliche Inline-Lösung bereitstellt und sich als führender Sicherheitsanbieter etabliert hat. Zscaler basiert auf einer cloudnativen Proxy-Architektur und bietet alle oben aufgeführten Vorteile. Wir betreiben die weltweit größte Inline-Sicherheits-Cloud mit über 150 Rechenzentren auf sechs Kontinenten, betreuen Kunden in 185 Ländern und verarbeiten tagtäglich Hunderte Milliarden Transaktionen.
Zscaler ist ganz auf Leistung ausgelegt und leitet den Datenverkehr intelligent an unser nächstgelegenes Rechenzentrum weiter. Dort kommunizieren wir mit Top-Anwendungen wie Microsoft 365, Zoom, Salesforce und anderen, um immer den kürzesten Weg zwischen Usern und Apps einzuschlagen. So entsteht eine herausragende User Experience, die sich wiederum positiv auf die Produktivität des Unternehmens auswirkt.
Zscaler bietet insbesondere die folgenden CASB-Funktionen:
- Exakter Datenabgleich (EDM) zum Schutz vor Datenverlusten (DLP)
- Cloud-Sandbox für Advanced Threat Protection (ATP)
- Eingebautes sicheres Web-Gateway (SWG)
- SASE-konforme Zero-Trust-Architektur (ZTA) nach Gartner
Wir sorgen für einheitliche Sicherheit in der gesamten IT-Umgebung unabhängig vom Benutzerstandort. So können Sie und unzählige andere Unternehmen Digitalisierung und Telearbeit für mobile und hybride Belegschaften sicher umsetzen.
Empfohlene Ressourcen
-
Was ist unter Cloud Access Security Broker zu verstehen?
Zum Artikel -
Zscaler CASB auf einen Blick
Zum Datenblatt -
Zscaler Cloud Access Security Broker
-
Was ist Reverse Proxy?
Zum Artikel -
Was ist unter einem Cloud-Proxy zu verstehen?
Zum Artikel